鉴于腾讯云主机因弱口令频繁被入侵,通过加固可以避免高危端口暴露在外。
为避免服务器被爆破SSH
建议第一种方法:在腾讯云官网添加SSH密钥
关闭云主机后,将密钥绑定到你的主机实例。腾讯云将会自动关闭SSH密码登录并开启证书登录。
第二种方法:命令行添加公钥 (记得将公钥保存一份)
在跳板机输入 cat .ssh/id_rsa.pub | ssh root@1.2.3.4 'cat >> .ssh/authorized_keys'
或者登录上Linux服务器后直接追加.ssh/authorized_keys
为避免服务器被爆破扫描,或限制访问高危服务,或者避免不小心开放高危端口,建议对服务器实施安全组策略,根据业务需要限制网络出入流量。
如图所示,腾讯云已经自带一些安全组,默认都是全开的策略,会导致安全工单的爆发。例如一台默认配置的Windows Server服务器扫描结果:
第一步:根据业务特性,先从一个自带安全组克隆出来。注意选定服务器所在地区
然后编辑如图: 所有ICMP是允许,然后3389限定公司办公网出口可访问,然后剩下所有互联网流量全丢掉。如果你还有80或者8080 需要对外提供服务,就插入一条80 或者8080 的TCP策略,允许0.0.0.0/0
然后记得检查 “出站规则” ,最顶部要允许,要不然就访问不了外网。保存。
最后在云主机列表配置安全组,勾选刚才配置的安全组,再取消勾选默认的安全组。Done
前提是使用64bit Linux ;安装
wget wget mirrors.tencentyun.com/install/sec/agent.zip && unzip agent.zip && sh install.sh
查看状态
sh /usr/local/sa/agent/restart.sh && sh /usr/local/sa/agent/check.sh
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。